Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: ripley en 28 de Febrero de 2005, 02:02:29 pm
-
Llevo ya unos días con el amigo about:blank. Tengo Windows ME y no sólo se pone en mi pagina de inicio, sinó que me aparece su ventana (tanto si estoy conectado a Internet como si no) con un mensaje de "Warning" y me invita a visitar su página diciéndome que tengo spyware hasta las cejas. Creo que me entró a través del Kazaa. Lo que más me preocupa es que desde que lo tengo no puedo apagar el ordenador; es decir, cuando le digo "Apagar" lo cierra todo, pero se queda la pantalla en negro y el ordenador encendido, y tengo que apagarlo con el interuptor de corriente. Además, me van apareciendo errores y a la mínima se cuelga con alguna cosa y tengo que reiniciar.
He sido, sin duda, demasiado feliz ya que hace años que tengo el PC y nunca me he preocupado mucho de la seguridad( de hecho, nunca había tenido este tipo de problemas). He estado leyendo muchos foros, me he puesto un poco en el tema: me instalé el Ad Aware y me encontró 390 bichos feos, pero no me quitó el about:blank.
Me instalé el Panda Platinum (3 meses de prueba) y me encontró un virus, que me eliminó. Pero no me quitó el about:blank.
Me he instalado el Spybot. Me encontró unos cuantos y los aniquiló. Pero nada del about:blank.
Me he instalado el CW Shredder. Me pilló 3 y los mató. Nada del about:blank.
Hize aquello de abrir la pàgina sin conectarme a internet y Ver el Código Fuente. Lo copié y lo puse en la página aquella de simplelogic. La ruta que me devolvió es: C:/ Windows/System/EFHK.DLL. Pensé que ya tenía al hijoputa. Lo intenté eliminar o renombrar pero no me dejó: aparecía un mensaje diciendo que estaba en uso y que no lo podía eliminar.
Leí que el Adware Away eliminaba todas las versiones del about:blank. Lo instalé (aunque no estoy seguro si es la última versión) y no lo encontró. Nada.
Aunque el Panda Platinum sólo encontró un virus, me fui a la página de Panda y pasé on line el activescan. Pues me encontró 14 virus! (Es fiable?) Uno de ellos es, sin duda, CWS. Aboutblank, exactamente el archivo que me devolvió la página de simplelogic.
Lo que aún no he probado es el HijackThis ése, porque he leído que es para usuarios avanzados. Y ese no es mi caso.
Por último, buscando, he encontrado un programa que se llama algo así como Remove About:blank Buddy. Lo he instalado pero aun no lo he ejecutado porque no sé si es fiable.
En fin, me he dejado algún paso?
Qué puedo hacer?
Tiro el ordenador por la ventana?
Es doloroso tener que apagar el ordenador por el interruptor de corriente de detrás y lo que más me jode es que me ha pillado en una buena época de curro y necesito el ordenador y internet para trabajar.
Necesito ayuda, gracias.
-
Holas y bienvenido ripley :D
1º, la opción de lanzamiento de ordenata por la ventana descártala de momento, justo el tiempo que tarde en colocarme debajo de tu ventana con una red y una furgoneta, gracias :mrgreen:
En éste enlace tienes la dire para descargar la última versión del Ad-aware, el SE, por si hubieses pasado una "antigua" http://www.daboweb.com/phpBB2/viewtopic.php?t=7132
El Hijackthis suele ser la herramienta indicada para el molesto about:blank, pero es cierto que si lo usas a la ligera y te dedicas a borrar según qué entradas de las que haya marcado, puede fastidiar seriamente el funcionamiento del pc, así que lo mejor sería que publicases aquí el log para que te digan qué entradas debes eliminar y cuales ni tocarlas, te parece?
El Hijackthis puedes bajártelo de aquí http://www.spychecker.com/download/download_hijackthis.html crea una carpeta nueva (por ejemplo llamada Hijackthis) y ponlo dentro. ábrelo ahí y ejecútalo. Dale a scan, cuando termine clika en save log, guárdalo, copia el contenido y pégalo aquí sin tocar nada más, para que le echemos un vistazo, ok? ;)
Y sobre el Kazaa... mejor píllate la versión Lite, que es la que viene sin spyware :P
Nos cuentas ;)
-
Gracias por tu rápida respuesta, Miyu. Esto es lo que sale:
Logfile of HijackThis v1.99.1
Scan saved at 19:39:27, on 28/02/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVSCHED.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\WINDOWS\LOADQM.EXE
C:\ARCHIVOS DE PROGRAMA\DAP\DAP.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\ARCHIVOS DE PROGRAMA\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\YA.COM\DSLSTAT.EXE
C:\ARCHIVOS DE PROGRAMA\YA.COM\DSLAGENT.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\APVXDWIN.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\E_SICN03.EXE
C:\ARCHIVOS DE PROGRAMA\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\ARCHIVOS DE PROGRAMA\LOGITECH\PROFILER\LWEMON.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVPROXY.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {C435FD6F-238C-43C9-9C2D-632EAD6E1CE3} - C:\WINDOWS\SYSTEM\FFBDCCA.DLL
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Archivos de programa\MediaRing Talk 99\register.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [OmgStartup] C:\Archivos de programa\Archivos comunes\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\SYSTEM\E_SICN03.EXE /A "C:\WINDOWS\SYSTEM\E_SD042.TMP"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwtest.exe" /detect /quiet /launch "C:\Archivos de programa\Logitech\Profiler\lwemon.exe /noui"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Filter: text/html - {77D2B78C-F421-4C4A-ADF9-1674CE1D9E12} - C:\WINDOWS\SYSTEM\FFBDCCA.DLL
O18 - Filter: text/plain - {77D2B78C-F421-4C4A-ADF9-1674CE1D9E12} - C:\WINDOWS\SYSTEM\FFBDCCA.DLL
Qué tal pinta?
-
En principio te aconsejo que crees una carpeta propia para el HijackThis y no lo dejes en la temporal de Windows, dado que el HT crea copias de backup de lo que se elimina y si están en una temporal corren alto riesgo de ser borradas.
Una vez que lo tengas en su carpeta, hacé lo siguiente: reiniciá la máquina en modo seguro o a prueba de fallos ( F8 ), corré el HijackThis, apretá el SEGUNDO botón y marcá UNICAMENTE lo que está a continuación, así nos aseguramos de limpiar el terreno:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {C435FD6F-238C-43C9-9C2D-632EAD6E1CE3} - C:\WINDOWS\SYSTEM\FFBDCCA.DLL
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O18 - Filter: text/html - {77D2B78C-F421-4C4A-ADF9-1674CE1D9E12} - C:\WINDOWS\SYSTEM\FFBDCCA.DLL
O18 - Filter: text/plain - {77D2B78C-F421-4C4A-ADF9-1674CE1D9E12} - C:\WINDOWS\SYSTEM\FFBDCCA.DLL
Si no querés que MediaRing te pida en cada booteo que te registres, agregá lo siguiente a la lista:
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Archivos de programa\MediaRing Talk 99\register.exe
Una vez seleccionado todo esto apretá Fix checked, cerrá el HT, reiniciá la máquina en modo seguro y volvé a correr el HT. Publicá el nuevo log.
-
eeese Fats :D:D:D sigue sus instrucciones ripley, que estás en buenas manos ;)
-
Estimados Fats Gordon y Miyu,
He seguido cuidadosamente las instrucciones de Fats Gordon y aquí está el nuevo log:
Logfile of HijackThis v1.99.1
Scan saved at 1:06:50, on 02/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.es
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [OmgStartup] C:\Archivos de programa\Archivos comunes\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\SYSTEM\E_SICN03.EXE /A "C:\WINDOWS\SYSTEM\E_SD042.TMP"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwtest.exe" /detect /quiet /launch "C:\Archivos de programa\Logitech\Profiler\lwemon.exe /noui"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Parece que se ha limpiado bastante, aunque creo que queda uno, imagino que el culpable que siga abriéndose la ventana de "Warning" y que continúe el about:blank como página de inicio...
Espero vuestras indicaciones. Muchas gracias.
PD. Por cierto, he creado repetidamente una carpeta nueva en la C para meter ahí el Hijackthis, antes de bajarlo, pero se crea en la carpeta Temp. He probado también de copiar el archivo zip donde está el Hijackthis a una carpeta nueva en la C. Pero no hay tu tía; cada vez que lo abro me dice lo que ya me avisásteis, que lo tengo en una carpeta temporal y que se pueden borrar los backups (!)
:cry:
-
Ok, continuemos con la limpieza y veamos si podemos sacar todo.
Lo primero ahora es volver a entrar en modo seguro ( F8 ), abrir el HijackThis y marcar esta línea:
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
Luego apretá Fix checked, cerrá el HijackThis y BORRÁ el siguiente archivo:
C:\WINDOWS\TEMP\SE.DLL
En realidad te convendría borrar todo lo que allí se encuentre (en el directorio TEMP, se entiende...), así como lo que esté en los temporales de Internet.
Luego andá a C:\WINDOWS\SYSTEM y buscá el archivo SE.DLL allí, y si no está probá en C:\WINDOWS\SYSTEM32. Si lo encontrás eliminalo también.
Luego reiniciá la máquina nuevamente en modo seguro y volvé a publicar un log del HT junto con tus impresiones sobre cómo están las cosas ahora.
-
Bueno, hice lo que me dijiste. Después de pasar el Hijackthis, encontré el archivo en Windows/Temp y lo borré. No estaba en System ni en System 32. Borré los archivos temporales de Internet y las cookies. Y éste es el nuevo log de Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 19:40:56, on 02/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daboweb.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.es
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [OmgStartup] C:\Archivos de programa\Archivos comunes\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"
O4 - HKLM\..\RunServices: [PAVFIRES] C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\SYSTEM\E_SICN03.EXE /A "C:\WINDOWS\SYSTEM\E_SD042.TMP"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwtest.exe" /detect /quiet /launch "C:\Archivos de programa\Logitech\Profiler\lwemon.exe /noui"
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Hasta el momento ya no ha aparecido más la ventana de "Warning", no me ha cambiado la página de inicio, no he tenido más errores y el ordenador se apaga de forma normal. Creo que estoy a salvo, no? Qué te parece?
:shock:
-
Hola:
Bienvenido al foro ripley.. Me alegro que vaya bien todo. A ver que te indica fats..
Un saludo
-
A mi me parece límpio... :D
-
Muchas gracias por la ayuda; me habéis sacado de un apuro. :D
Ahora ya no me aparece ninguna ventana, etc. Está todo limpio. Al principio no pasó, pero ahora vuelve a no apagarse el ordenador cuando le doy a "Apagar". Cierra todo, pero la pantalla se queda en negro y el ordenador encendido y tengo que apagarlo por el interruptor de corriente. La última vez probé de reiniciarlo en modo a prueba de errores y entonces "Apagar". Y se apagó. O sea, que parece que el ordenador ha quedado "tocado" y sólo puedo apagarlo en el modo de prueba de errores. ¿Puede ser una consecuencia del spyware que tenía? ¿Se puede solucionar? ¿Hay algún programa que encuentre errores en el ordenador y los solucione?
La verdad es que el ordenador, una vez pasada la traumática experiencia de los virus, va bastante lento y el único error que aparece de vez en cuando tiene que ver con un archivo llamado spool32, el cual me dice que se cerrará.
Espero que no haya quedado ningún virus... :?
-
Bueno, ya sé por qué no se me apagaba el ordenador: porque vuelvo a tener el about:blank! Han pasado pocos días y otra vez está en mi página de inicio, me aparece la ventana de "Warning" aunque no esté conectado a Internet, etc.
Bueno, esta vez sí sabía qué hacer. He pasado el AD Aware, el Spybot y el CW Shredder. Después el Hijackthis, eliminando manualmente el archivo se.dll de la carpeta Temp de Windows. También he eliminado los archivos temporales de Internet y las cookies. Y esta vez he eliminado TODO lo que había en Windows/Temp. Bueno, de hecho, TODO menos un archivo que no me ha dejado eliminar: CmdLineExt02.dll. Mi pregunta es: puede ser que sea este archivo cabrón el encargado de resucitar al about:blank cuando ya está todo limpio? O no?
Ahora vuelve a estar el ordenador teóricamente limpio, pero cómo sé yo que dentro de un par de días no tenga otra vez el About:blank rondándome?
Tengo que tirar la toalla?
:evil:
-
Hola:
Tienes winMe es recomendable vaciar el restore de windows en estos casos.. Hazlo a ver si mantienes el pc en orden..
Un saludo
-
CmdLineExt02.dll. Mi pregunta es: puede ser que sea este archivo cabrón el encargado de resucitar al about:blank cuando ya está todo limpio? O no?
Tengo que tirar la toalla?
¿Tirar la toalla? ¿Con lo caras que están? ¡Jamás! :D
Es muy probable que el about:blank vuelva. Las primeras versiones del about:blank se manejaban con una dll "invisible". Esto es, la dll existe, pero está siendo invocada desde un cierto lugar de la registry que por algun motivo no es visible desde cualquier editor, sino de algunos pocos, y es por eso que no se sabe cuál es para poder eliminarla.
Si querés vemos todo el camino para tratar de encontrarla. Es más, si no estoy equivocado por aquí anda algun hilo que trataba del tema...
-
Hola:
Creo que Fats puede referirse a estas cadenas..
http://www.daboweb.com/phpBB2/viewtopic.php?t=5377
http://www.daboweb.com/phpBB2/viewtopic.php?t=4598
http://www.daboweb.com/phpBB2/viewtopic.php?t=7038
Un saludo
-
Los dos últimos días he utilizado el ordenador, pero como no me he conectado a Internet aún no ha vuelto a aparecer. Aunque supongo que debe estar "latente", no?
He estado leyendo los links que ha dejado Destroyer. Estoy un poco perdido con tantos nombres técnicos y no sé muy bien por dónde empezar. Qué hago? Qué es el restore de windows y cómo se vacía? Busco si tengo el archivo itb.dll? Debo pensar que el archivo que tengo que eliminar es el que busqué en aquella página de simplelogic (EFHK.DLL)?
Qué hago? Contármelo como si fuera un niño de ocho años, porque yo más allá del word, el nero y navegar por internet... :?
Muchas gracias por vuestra ayuda. :)